Od 1 stycznia 2015 r. rozszerzeniu uległy kompetencje pracowników zatrudnionych na stanowiskach administratora bezpieczeństwa informacji (ABI). Najpóźniej do 30 czerwca 2015 r. działający u pracodawcy ABI musi zostać zgłoszony do GIODO. Jednocześnie ograniczono zakres obowiązków rejestracyjnych tych podmiotów, które powołają ABI.
Wprowadzone od 1 stycznia 2015 r. zmiany w zakresie ochrony danych osobowych dotyczą głównie nowych zasad funkcjonowania w firmie administratora bezpieczeństwa informacji. Zarówno w poprzednim, jak i w nowym stanie prawnym podmioty przetwarzające dane osobowe nie muszą decydować się na powołanie ABI (art. 36a ust. 1 ustawy o ochronie danych osobowych). Jednak w przypadku jego niepowołania odpowiedzialność za spełnienie wymagań w zakresie ochrony danych osobowych ciąży na administratorze danych, czyli organie, jednostce organizacyjnej, podmiocie lub osobie decydującej o celach i środkach przetwarzania danych osobowych.
Stanowisko ABI tylko dla osób spełniających wymagania
Przed zmianą przepisów nie obowiązywały wymagania w zakresie kwalifikacji osób pełniących funkcję ABI. Nowe przepisy wprowadziły określone wymagania dla tej grupy specjalistów. Po zmianie przepisów od 1 stycznia 2015 r. na stanowisko ABI można powołać tylko osobę, która:
● ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
● posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
● nie była karana za umyślne przestępstwo.
W praktyce wątpliwości może budzić wymóg "posiadania odpowiedniej wiedzy w zakresie danych osobowych". Ustawodawca nie wprowadził bowiem żadnych szczegółowych wymagań dotyczących tej kwestii, jak np. ukończenie określonego szkolenia, kursu lub studiów. Nie ma również obowiązku posiadania praktyki na tym stanowisku. Zatem to pracodawca będzie oceniał, czy dana osoba ma odpowiednią wiedzę w zakresie ochrony danych osobowych.
W ustawie o ochronie danych osobowych nie określono również, czy osoba wykonująca zadania ABI powinna być zatrudniona u pracodawcy. Z tego względu funkcję ABI może pełnić zarówno pracownik zatrudniony na podstawie umowy o pracę, jak i osoba zatrudniona w ramach umowy cywilnoprawnej bądź pracownik specjalistycznej firmy outsourcingowej działającej w obszarze ochrony danych osobowych.
Administrator - ważniejszy niż do tej pory
Ze względu na nowy zakres kompetencji przypisany ABI ustawodawca zdecydował się na zwiększenie ich pozycji w jednostkach organizacyjnych, dla których pracują. W szczególności ABI w zakresie swoich zadań może obecnie podlegać tylko bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Przed nowelizacją kwestia podporządkowania ABI nie była uregulowana.
Ponadto administratora danych zobowiązano do zapewnienia środków i organizacyjnej odrębności ABI niezbędnej do niezależnego wykonywania przez niego zadań. Nie zostało jednak określone, na czym konkretnie ma polegać wspomniane zapewnienie odrębności organizacyjnej i jakie środki należy zapewnić administratorowi. Rozstrzygnięcie w tych kwestiach pozostawiono podmiotowi zatrudniającemu ABI.
Więcej zadań dla ABI
W porównaniu z poprzednimi regulacjami zakres obowiązków ABI uległ zwiększeniu. Jego nowe zadania to zwłaszcza:
● cykliczne sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywanie w tym zakresie sprawozdań dla administratora danych,
● sprawdzanie zgodności przetwarzania danych na żądanie GIODO - z obowiązkiem przekazania sprawozdania do GIODO,
● prowadzenie rejestrów zbiorów danych będących w posiadaniu administratora danych (z wyłączeniem zbiorów podlegających obowiązkowi rejestracji).
UWAGA!
Pracodawcy powinni dostosować zakres obowiązków ABI do nowych regulacji.
Nowe zadania dla ABI oznaczają, że pracodawcy muszą dostosować zatrudnienie na tym stanowisku do wprowadzonych regulacji. Może to oznaczać zmianę osoby pełniącej funkcję ABI. Jeżeli natomiast pracodawca zdecyduje się na dalsze zatrudnianie tej samej osoby, musi zmienić jej zakres obowiązków zgodnie z nowymi wymaganiami.
Nowe przepisy nakładają obowiązek dokonania zgłoszenia do rejestracji GIODO faktu powołania lub odwołania ABI, w terminie 30 dni od dnia jego powołania lub odwołania. ABI powołany przed 1 stycznia 2015 r. może pełnić tę funkcję zgodnie z nowymi przepisami do czasu wpisania go do rejestru GIODO, nie dłużej jednak niż do 30 czerwca 2015 r. Oznacza to, że dotychczasowy ABI powinien zostać zgłoszony do rejestracji GIODO najpóźniej do końca czerwca 2015 r.
Powołanie ABI zwalnia z obowiązku rejestracyjnego
Zgodnie z obowiązującymi do końca 2014 r. przepisami podmioty posiadające zbiór danych osobowych były zobowiązane do zgłoszenia tego zbioru do GIODO. Zwolnienia z obowiązku zgłoszenia zbioru danych dotyczyły tylko nielicznych sytuacji, m.in. danych przetwarzanych wyłącznie w celu wystawienia faktury czy danych przetwarzanych w związku z zatrudnieniem lub świadczeniem usług na umowy cywilnoprawne.
Na podstawie nowych przepisów z obowiązku zgłaszania zbiorów danych do GIODO zwolniono również te podmioty, w których powołano ABI. Zwolnienie nie dotyczy jednak danych wrażliwych.
PODSTAWA PRAWNA:
● art. 7 pkt 4, art. 36a-36b, art. 40, art. 43, art. 46b ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - j.t. Dz.U. z 2014 r., poz. 1182; ost.zm. Dz.U. z 2014 r., poz. 1662
● art. 35 ustawy z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej - Dz.U. z 2014 r., poz. 1662
Jakub Ziarno
prawnik, trener, autor z kilkunastoletnią specjalizacją z zakresu prawa pracy, były inspektor Państwowej Inspekcji Pracy